Хакеры представляют собой значительный риск для финансовых консультантов - не только во времени или деньгах, но и в плане ущерба репутации. Советники проводят профессиональное доверительное управление, которое может быть разрушено щелчком мыши.

Комиссар Комиссии по ценным бумагам и биржам (SEC) Луис Агилар в своей речи в июне 2015 года назвал финансовую отрасль «основной целью» для международных киберпреступников. Сообщалось, что один крупный банк США атаковал 30 000 раз за неделю, в среднем один раз каждые 34 секунды. (Подробнее см. Ниже: Финансовые консультанты чувствуют кибербезопасность .)

Ожидается, что киберпреступности приведут к общим финансовым потерям в этом году в размере 450 миллиардов долларов. Нападения бывают разных вкусов - от кражи личных данных до вымогательства до сложных методов копья-фишинга. Нападения на крупные фирмы, такие как eBay, JPMorgan Chase или Home Depot, могут делать заголовки, но эксперты говорят, что мелкие фирмы должны быть одинаково бдительными и не предполагать, что они находятся ниже радара, потому что они не являются домашним именем.

Кража личных данных

Федеральное бюро расследований называет кражу кибер-идентичности самым быстрорастущим преступлением в США. Согласно недавнему исследованию Symantec, воры воры достигли 429 миллионов записей в 2015 году, что на 23% по сравнению с прошлым годом. И поскольку компании не полностью сообщают о степени своих нарушений, фактическое количество скомпрометированных идентификаторов может быть выше. Консервативная оценка, по словам Symantec, подтолкнет число фактических выставленных лиц более чем к 500 миллионам.

Только девять нарушений выявили более 10 миллионов идентичностей. Но многие меньшие атаки никогда не публикуют новости. Среднее нарушение выявило менее 5 000 удостоверений личности. Несмотря на трудности с количественной оценкой объема проблемы, причины этих краж столь же просты, как спрос и предложение. Агилар сказал, что оценочный рынок украденных кредитных карт больше, чем рынок кокаина на 29 миллиардов долларов.

Последствия кражи личных данных могут быть серьезными. Стоит уведомить клиентов и неловко рассказать им о нарушении. Неспособность защитить идентификаторы клиентов может привести к нарушению законов, регулирующих неприкосновенность частной жизни, что приведет к штрафам или запретам. (Для получения дополнительной информации см. Раздел 7 советов по кибербезопасности для финансовых консультантов. )

Ransomware

Согласно отчету Symantec, случаи повторных попыток атаки увеличились на 35% в 2015 году. В этих атаках хакерский командующий отдельный компьютер или сеть, а затем потребовать оплату, иногда в биткойне. В другом типе атаки вымогателя хакеры шифруют отдельные файлы, а затем требуют выкупа в обмен на ключ шифрования.

Фишинг копья

В 2015 году атаки фишинга копья увеличились до 1 305, по сравнению с 814 годом ранее, согласно Symantec.И финансовая индустрия была главной целью: 35% атак, направленных на финансовые, страховые или риэлтерские фирмы. Эксперты говорят, что эти виды атак становятся более скрытными. Symantec говорит, что ряд групп, включая группы, спонсируемые государством, активно участвовали в фишинговых атаках копья в 2015 году.

Увеличение ожиданий

Наряду с распространением кибератак, ожидания клиентов в отношении безопасности в последние годы увеличились. Так что ожидания регуляторов. В консультативном выпуске, выпущенном в январе 2015 года, Североамериканская ассоциация администраторов ценных бумаг предупредила инвесторов, что они должны обсудить кибербезопасность со своими советниками.

В своем выступлении Агилар сказал, что «разочаровывает», что многие фирмы не предприняли простых шагов для смягчения угрозы кибератак. Многие не назначали сотрудника службы информационной безопасности или не облагали киберстрахованием. (Для соответствующего чтения см. Обучение клиентов о кибербезопасности .)

Требования к соблюдению

В ноябре 2014 года SEC приняла норматив «Соблюдение и целостность систем», в котором требуются значительные интрузии в течение 24 часов. Регламент охватывает фондовые биржи и модельную инфраструктуру. Но это было заложено в качестве типового регламента в том смысле, что оно основано на рисках - поощряющие фирмы сосредоточить свои превентивные ресурсы на системах, где есть наибольший потенциал для нанесения вреда, - и настоятельно призывает привлечь высшее руководство на уровне правления, где есть реальные подотчетность.

Отдел исполнения SEC SEC расследует нарушения, включая сценарии, в которых инвестиционные консультанты не могут защитить конфиденциальную информацию клиентов. В 2015 году Отдел управления инвестициями Комиссии выпустил руководство по кибербезопасности: периодически тестируйте свои информационно-технологические системы, разрабатывайте стратегию кибербезопасности и готовите сотрудников к ее внедрению.

Эксперты говорят, что человеческие ресурсы фирмы часто являются самой большой уязвимостью. Недавнее исследование IBM показало, что инсайдеры отвечают за большинство нарушений кибербезопасности. Даже когда они не намеренно разрушают системы, сотрудники могут непреднамеренно оставить дверь открытой для воров. (См. Раздел: SEC для консультантов: Внедрение планов Cyber ​​Security .)

Помимо обучения сотрудников лучшим методам, таким как, как защитить пароль и как определить фишинг-мошенничество, фирмы должны иметь письменные правила, которые описывают процедуры в случае кибер-атаки и шаги, предпринятые для предотвращения нарушений. Ассоциация североамериканских администраторов ценных бумаг подчеркивает важность письменной политики.

SEC в своих недавних обзорах обнаружил, что многие фирмы имеют такую ​​политику, но часто не указали, как они будут определять потери клиентов в результате атаки. В недавнем обзоре SEC признала, что многие фирмы не проводили оценки рисков своих сторонних поставщиков, оставляя их уязвимыми и подверженными атакам, которые использовали отношения с внешними поставщиками.Важно, чтобы выполнить должную осмотрительность, чтобы показать, что регуляторы серьезно восприняли угрозы.

Итог

Кибер-преступления растут и становятся все более сложными по своей природе. Советники должны иметь систему для защиты от них и следить за соблюдением правил. (Более подробно см .: Cyber ​​Crime: советы о том, как избежать катастрофы .)